如果登录用户单击特制链接,LangSmith 中的一个严重漏洞可能会让攻击者窃取会话令牌并接管用户帐户。缺陷,跟踪为 CVE-2026-25750,在修复推出之前影响了 LangSmith Cloud 和自托管部署。
该问题集中在 LangSmith Studio 的 baseUrl处理。在修复之前,攻击者可以滥用该参数,使受害者的浏览器向攻击者控制的服务器发送请求(包括身份验证数据)。利用被盗的不记名令牌,攻击者可以访问受害者在其工作空间内可用的相同 LangSmith 资源和操作。
这使得这个错误对于企业人工智能团队来说尤其严重。 LangSmith 靠近大型语言模型应用程序的调试、跟踪和可观察性工作流程,因此受损的帐户可能会暴露敏感的跟踪数据、内部工作流程和专有提示。米戈发现浪链表示已于 2025 年 12 月 15 日修复了云服务,并随后发布了用于自托管部署的补丁。
发生了什么
根据已发布 CVE 详细信息,该错误是 LangSmith Studio 中的 URL 参数注入缺陷。单击恶意链接的经过身份验证的用户可能会将其不记名令牌、用户 ID 和工作区 ID 发送到攻击者控制的服务器。该攻击需要社交工程,例如网络钓鱼或通过电子邮件或聊天共享的恶意链接。
米戈的研究表明这次袭击当登录的受害者访问恶意网站或受到恶意 JavaScript 攻击的合法网站时,也可能会启动。然后,该脚本可以强制浏览器加载精心设计的 LangSmith Studio URL,该 URL 指向攻击者控制的后端。
为什么这很重要
LangSmith 中的帐户接管可能会暴露比正常个人资料数据更多的信息。由于 LangSmith 处理人工智能应用程序的跟踪和可观察性数据,因此进入的攻击者可能会获得执行历史记录、原始输出、内部提示以及与模型行为相关的其他敏感材料。如果团队在调试或监控生产系统期间使用 LangSmith,这可能包括机密业务数据。
实际的危险还来自于攻击所需的用户交互非常少。受害者无需在虚假登录页面中手动输入凭据。当用户已经有一个活动会话时,单个恶意链接就足够了。
受影响的产品和修复版本
| 物品 | 地位 |
|---|---|
| 朗史密斯云 | 2025 年 12 月 15 日之前修复 |
| 自托管 LangSmith | 补丁于 2025 年 12 月 20 日发布 |
| 易受攻击的自托管版本 | 0.12.71 之前的版本 |
| 修补 Helm 图表线 | langsmith-0.12.33后来,根据米戈的说法 |
| 野外开发 | 公告中没有报告任何证据 |
这些版本和时间线详细信息来自 CVE 记录和 Miggo 的文章。
- 自托管管理员应立即升级到已修补的版本系列。
- 安全团队应检查用户是否点击了电子邮件、聊天或文档门户中共享的可疑 LangSmith 链接。根据通报中描述的攻击路径,这是一个合理的防御步骤。
- 如果组织怀疑存在泄露,则应轮换令牌或审查会话活动。这是基于被盗的不记名令牌导致冒充这一事实的推论。
- Miggo 表示,云客户不需要采取平台端修复措施,因为 LangChain 已经修复了托管服务。
关键事实一览
| 细节 | 信息 |
|---|---|
| CVE | CVE-2026-25750 |
| 漏洞类型 | URL参数注入 |
| 主要风险 | 令牌盗窃和帐户接管 |
| 需要用户操作 | 在登录时点击精心设计的恶意链接或加载恶意页面 |
| 影响 | 访问受害者工作空间内的 LangSmith 资源 |
| 修补自托管版本阈值 | 之前0.12.71受到影响 |
源数据来自 CVE 条目和 Miggo 的研究。
FAQ
LangSmith Cloud 是否受到影响?
是的。已发布的 CVE 表示,在应用修复之前,LangSmith Cloud 和自托管部署均受到影响。
攻击是否需要网络钓鱼?
它需要社会工程或恶意链接,但不是受害者手动将凭据输入虚假页面的经典类型。令牌被盗可能通过活动会话发生。
是否存在积极利用的证据?
咨询和后续研究表明,没有证据表明存在野外剥削行为。
自托管管理员应该做什么?
他们应该立即升级到修补版本。 CVE记录指向版本后的修复0.12.71,而Miggo也引用了Helm图表langsmith-0.12.33以及稍后的受保护部署。